Die Signatur-Problematik bei F-Droid ist offenbar noch immer nicht gelöst: “We find it concerning that F-Droid constantly chooses to move the goalposts and continues to rely on a fundamentally broken approach for certificate pinning, merely patching [15] known vulnerabilities without ever addressing the underlying cause.” 😵👇
https://github.com/obfusk/fdroid-fakesigner-poc?tab=readme-ov-file#update-2025-01-19
#fdroid #security #privacy #certpinning #signature
Am besten:
- Accressent
- Obtanium (github/gitlab) + Appverfier
- F-droid Repo des Entwicklers manuell hinzufügen
Can anyone please explain what the actual impact of this is in the context of Fdroid?
@[email protected] und ich dachte immer, ich wäre der einzige , der mit certs immer auf Kriegsfuß steht 😜
@kuketzblog
Scheint heute behoben worden zu sein. Gerade gesehen:
https://floss.social/@fdroidorg/113871647937841033@[email protected] Nein, denke ich nicht: https://www.openwall.com/lists/oss-security/2025/01/20/1
@[email protected] @[email protected] @[email protected] Update online :mastodance:
@[email protected] Umpf… Eine als PRIVAT markierte Nachricht einfach so auf eine News-Seite zu stellen, ohne zu fragen, ist aber schon ein wenig… err… merkwürdig. Ich hatte Dir die Infos extra privat zugeschickt. Kannst Du bitte die Quelle entsprechend redigieren? Ich will hier keinen Flamewar lostreten, habe Dir nur die Infos, vertraulich, zukommen lassen. Als Quelle kannst Du einfach den POC benennen, aus dem die Screenshots ja kommen.
@[email protected] Oops, war nicht meine Absicht, dachte, du wolltest das loswerden. Hab auch nix sensibles darin gesehen… sorry!!
Gib mir zwei Minuten@[email protected] TL;DR: bitte entferne IzzyOnDroid als Quelle bei “POC”, und verlinke da stattdessen zum POC selbst. https://github.com/obfusk/fdroid-fakesigner-poc?tab=readme-ov-file#update-2025-01-22 war in meinem public post.
Du kannst gern erwähnen mich gefragt zu haben, wie wir das bei IzzyOnDroid handhaben – und dann das “Bei IzzyOnDroid verwenden wir zwar…” zitieren (einfach ohne das einleitende “PS” – der Text passt ansonsten.
@[email protected] Hat sich überschnitten. Aber zufällig hab ichs genau so gemacht 😊
@[email protected] ja, schon. Aber wenn da “IzzyOnDroid” drunter steht, schaut das nach “IzzyOnDroid gegen F-Droid” aus. Und das ist es definitiv NICHT. Bin Dir jetzt nicht böse (naja, ein wenig schon) – aber im Journalismus benennt man vertrauliche Quellen nicht, ohne sie vorher danach zu fragen.
Ist halt eine Scheiß Situation, und ich möchte einfach nicht, dass sie als “persönlicher Konflikt” fehlinterpretiert wird. Gibt da schon genug Stress. Siehe z.B. https://gitlab.com/fdroid/admin/-/issues/447
@[email protected] Nochmals sorry! Bin ja ein blutiger Amateur… Kommt nicht wieder vor!
Ich wusste ja, dass die Jungs ihren eigenen Kopf haben, aber wahrscheinlich mach ich mir da keine Vorstellung…So, Update ist online. So sollte es gehen, denke ich.
Plausible sagt , Stats unverändert, sollte also noch masl gut gegangen sein.:hacker_s: :hacker_o: :hacker_r: :hacker_r: :hacker_y:
